Интегрированная NAP функциональность в UAG 2010 Service Pack 1 DirectAccess

Введение

DirectAccess является принципиально новой технологией удаленного доступа, которая идет с UAG 2010. DirectAccess позволяет вашим компьютерам, являющимся членами домена, подключаться к интрасети, а также дает возможность ИТ персоналу на постоянной основе управлять этими машинами, даже когда пользователь не вошел в VPN. В результате DirectAccess клиенты представляют собой профиль угроз, который незначительно отличается от профиля угроз настольных машин и ноутбуков, подключенных к внутренней сети напрямую локально.

Вы, возможно, слышали о том, что в DirectAccess есть много подвижных частей. Хотя это действительно так, эти части представляют собой технологии и сервисы, о которых вы уже многое знаете: DNS, DHCP, службы сертификатов, Active Directory, групповая политика и базовые сети TCP/IP. Те аспекты, о которых вы, возможно, не так много знаете, например IPsec и IPv6, управляются автоматически сервером UAG DirectAccess. Вы можете легко разворачивать DirectAccess с UAG, используя эти продвинутые технологии, и получать рабочее решение, а затем изучить определенные сложности IPsec и IPv6, после того как ваш начальник и ваши пользователи уже похвалили вас за то, что вы реализовали DirectAccess и значительно улучшили их жизни.

Вы, возможно, слышали о NAP (Network Access Protection). NAP является отличной и очень полезной технологией безопасности, позволяющей вам контролировать то, каким узлам разрешен доступ к сети. Проблема с NAP заключается в том, что в ней имеется множество запутанных моментов, и мастер NAP не настолько продуман, чтобы позволить вашим занятым сетевым администраторам создать удобное сетевое решение. Компоненты NAP скрыты за серверами сертификатов, серверами сетевой политики и другими серверами, и не всегда понятно, как все компоненты взаимодействуют и как управлять решением. И очень жаль, поскольку NAP 'могла бы стать достойным решением'.

Однако люди в Microsoft, которые работали над UAG SP1, смогли использовать некоторые фокусы, применявшиеся в создании простого решения DirectAccess, чтобы сделать настройку и управление NAP проще. С UAG SP1 вы можете легко разворачивать NAP для контроля над тем, какие компьютеры могут создавать туннель интрасети для подключения к корпоративной сети. И что действительно поражает во всем этом решении, так это тот факт, что мастер устанавливает серверные компоненты NAP на сервер или массив серверов UAG и все работает! Вам не придется бороться с ними, вам не придется проводить массу времени за настройками, вырывая на себе волосы в попытке понять, как все работает, это решение просто работает. Конечно, это ограниченная установка NAP, где управление доступом ограничено только для туннеля интрасети. Но в данном случае это именно то, что вам нужно ' и в результате вы получаете именно то, что хотели.

В этой статье мы воспользуемся новым форматом руководства тестовой лаборатории (Test Lab Guide), который создан моим мужем, Томом Шиндером, совместно с Джо Дэвисом в Microsoft. После настройки базовой конфигурации в тестовой лаборатории с помощью формата Test Lab Guide вы получите конфигурацию, показанную ниже. По завершении всех шагов, описанных в этой статье, у вас будет рабочее решение UAG SP1 с NAP.

Конфигурация тестовой лаборатории Конфигурация тестовой лаборатории

Для начала нужно выполнить все шаги в Test Lab Guide: Demonstrate UAG SP1 RC DirectAccess. После выполнения шагов в Test Lab Guide у вас будет основная инфраструктура, необходимая для выполнения этого руководства по настройке UAG DirectAccess с NAP. Если вы уже выполнили шаги в руководстве Test Lab Guide и сохранили снимок или образ диска своей тестовой среды, вы можете восстановить снимок или образ и перейти к следующему шагу.

После завершения шагов по установке DirectAccess вы можете установить подчиненный центр сертификации на APP1, чтобы можно было создавать сертификаты здоровья, требуемые для центров регистрации работоспособности (Health Registration Authority - HRA) на UAG1 для DirectAccess NAP клиентов. Центры HRA способны запрашивать сертификаты и затем пересылать эти сертификаты NAP клиентам, которые запрашивают их.

  1. На компьютере APP1 или виртуальной машине, в диспетчере сервера, в разделе Обзор ролей (Roles Summary) нажмите Добавить роли (Add Roles) и нажмите Далее .
  2. На странице выбора ролей сервера Select Server Roles отметьте опцию Active Directory Certificate Services и нажмите Далее .

Рисунок 1 Рисунок 1

  1. На странице Introduction to Active Directory Certificate Services нажмите Далее .
  1. На странице выбора службы ролей (Select Role Services) отметьте опцию Центр сертификации (Certification Authority) и нажмите Далее .

Рисунок 2 Рисунок 2

  1. На странице выбора типа установки Specify Setup Type нажмите Отдельный (Standalone) и нажмите Далее .

Рисунок 3 Рисунок 3

  1. На странице выбора типа ЦС (Specify CA Type) выберите Подчиненный ЦС (Subordinate CA) и нажмите Далее .

Рисунок 4 Рисунок 4

  1. На странице настройки закрытого ключа (Set Up Private Key) выберите опцию Создать новый закрытый ключ (Create a new private key) и нажмите Далее .
  1. На странице настройки криптографии для ЦС Configure Cryptography for CA нажмите Далее .
  1. На странице настройки имени ЦС Configure CA Name в разделе Общее имя для этого ЦС (Common name for this CA) введите corp-APP1-SubCA, и нажмите Далее .

Рисунок 5 Рисунок 5

  1. На странице запроса сертификатов с родительского ЦС (Request Certificate from a Parent CA) выберите опцию Отправить запросы сертификата на родительский ЦС (Send a certificate request to a parent CA) и нажмите Обзор .
  1. В диалоге выбора ЦС (Select Certification Authority) нажмите corp-DC1-CA, а затем OK.

Рисунок 6 Рисунок 6

  1. Убедитесь, что DC1.corp.contoso.com\corp-DC1-CA отображен рядом с Родительским ЦС (Parent CA) , а затем нажмите Далее .
  1. Нажмите Далее , чтобы принять стандартные настройки базы данных, и нажмите Установить (Install) .
  1. Убедитесь, что все установки прошли успешно и нажмите Закрыть .

Имея подчиненный ЦС, мы готовы к его настройке на APP1 так, чтобы он автоматически предоставлял сертификаты, когда центр HRA, настроенный на UAG, будет их запрашивать. Также нужно настроить разрешения на ЦС, чтобы позволить UAG1 выдавать и управлять сертификатами, управлять ЦС и запрашивать сертификаты.

  1. На компьютере APP1 или на виртуальной машине нажмите Пуск , введите certsrv.msc и нажмите ENTER.
  1. В дереве консоли ЦС нажмите правой клавишей на corp-APP1-SubCA, а затем выберите Свойства (Properties) .
  1. Перейдите в закладку Модуль политики (Policy Module) и выберите Свойства .

Рисунок 7 Рисунок 7

  1. Выберите опцию Следовать параметрам, установленным в шаблоне сертификата, если они применимы, иначе автоматически выдавать сертификат. (Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate) , и нажмите OK.

Рисунок 8 Рисунок 8

  1. Когда появится подсказка о необходимости перезагрузки AD CS, нажмите OK дважды.
  1. В дереве консоли нажмите правой клавишей на corp-APP1-SubCA, наведите курсор на Все задачи (All Tasks) и нажмите Остановить службу (Stop Service) .

Рисунок 9 Рисунок 9

  1. Нажмите правой клавишей на corp-APP1-SubCA, наведите курсор на Все задачи (All Tasks) и нажмите Запустить службу (Start Service)
  2. В дереве консоли оснастки ЦС нажмите правой клавишей на corp-APP1-SubCA и выберите Свойства .

  3. Перейдите в закладку Безопасность (Security) и нажмите Добавить (Add) .

  4. Нажмите Типы объектов (Object Types) , выберите Компьютеры (Computers) и нажмите OK.

  5. Введите UAG1 и нажмите OK.

  6. Нажмите UAG1, отметьте опции Выдавать и управлять сертификатами (Issue and Manage Certificates) , Управление ЦС (Manage CA) и Запрашивать сертификаты (Request Certificates) в разделе Разрешить (Allow) и нажмите OK.

Рисунок 10 Рисунок 10

  1. Закройте консоль центров сертификации.

Имея подчиненный центр сертификации и настроенные должным образом параметры безопасности, можно перенастроить параметры на UAG1 на поддержку внедрения политики NAP для клиентов DirectAccess. После выполнения этого шага UAG1 будет настроен в качестве сервера сетевой политики (NPS), который обеспечивает функциональность NAP, а также Health Registration Server (HRA). К тому же Правило безопасности подключений на сервере UAG DirectAccess, управляющее доступом к туннелю интрасети, будет требовать от DirectAccess клиентов предоставления сертификатов здоровья (которые предоставляются клиентам DirectAccess центром HRA) для успешной проверки подлинности.

  1. На компьютере UAG1 или виртуальной машине нажмите Пуск и выберите Все программы . Нажмите Microsoft Forefront UAG, а затем Forefront UAG Management.
  1. В диалоге User Account Control нажмите Да .
  1. В консоли Microsoft forefront Unified Access Gateway Management нажмите на раздел DirectAccess в левой панели.

Рисунок 11 Рисунок 11

  1. В правой панели консоли в разделе Step 2 DirectAccess Server нажмите на пункт Network Access Protection.

Рисунок 12 Рисунок 12

  1. Это запустит мастера настройки защиты сетевого доступа Network Access Protection Configuration. На странице NAP Enforcement поставьте галочку для опции Использовать NAP для проверки соответствия клиентских компьютеров DirectAccess сетевым политикам здоровья (Use NAP to verify DirectAccess client computers are compliant with network health policies) , а затем выберите опцию Режим внедрения. Только соответствующие клиенты DirectAccess могут подключаться (Enforcement mode. Only compliant DirectAccess client can connect) . Нажмите Далее .

Рисунок 13 Рисунок 13

  1. На странице HRA and NPS выберите опцию Роли NPS и HRA установлены на этом UAG сервере (UAG настраивает параметры автоматически) (The NPS and HRA roles are installed on this UAG server (UAG configures settings automatically) . Отметьте галочкой опцию Использовать автоматическое исправление для автоматического обновления клиентов, не отвечающих требованиям политики (Use Autoremediation to automatically update non-compliant computers) . В текстовое поле Клиенты могут подключаться к этому URL адресу для диагностики проблем с совместимостью (необязательно) (Clients can link to this URL for troubleshooting compliance issues (optional)) введите https://www.contoso.com/troubleshooting.txt. Нажмите Далее .

Рисунок 14 Рисунок 14

  1. На странице ЦС NAP (NAP Certification Authority) нажмите кнопку Добавить . В диалоге Добавить сервер ЦС (Add a CA Server) нажмите кнопку Обзор . В диалоге Выбор сервера ЦС (Select a CA server) нажмите APP1.corp.contoso.com\corp-APP1-SubCA, а затем нажмите OK. В диалоге Добавить сервер ЦС (Add a CA Server) нажмите OK. Нажмите Готово .

Рисунок 15 Рисунок 15

Рисунок 16 Рисунок 16

  1. В правой панели консоли нажмите Применить политику (Apply Policy) .

Рисунок 17 Рисунок 17

  1. На странице Forefront UAG DirectAccess Configuration Review нажмите Применить сейчас (Apply Now) .

Рисунок 18 Рисунок 18

  1. В диалоге Конфигурация политики DirectAccess (DirectAccess Policy Configuration) нажмите OK после того, как увидите сообщение Выполнение сценария завершено без ошибок и предупреждений (Script run completed with no errors or warnings) .

Рисунок 19 Рисунок 19

  1. На странице Forefront UAG DirectAccess Configuration Review нажмите Закрыть .
  1. Теперь откройте интерпретатор команд с правами администратора. В окно Command Prompt введите gpupdate /force и нажмите ENTER. Закройте окно интерпретатора команд после успешного выполнения команды.

Рисунок 20 Рисунок 20

  1. В правой панели консоли нажмите Активировать (Activate) .

Рисунок 21 Рисунок 21

  1. В диалоге активации конфигурации Activate Configuration нажмите Активировать . Нажмите Завершить , когда увидите сообщение о том, что Активация успешно завершена (Activation completed successfully) .

Рисунок 22 Рисунок 22

UAG1 теперь настроен на внедрение NAP для DirectAccess клиентов. Теперь давайте подтвердим, что CLIENT1 получил настройки групповой политики, необходимые для NAP клиентов и убедимся, что CLIENT1 получил сертификат здоровья с DC1.

  1. Подключаем CLIENT1 к корпоративной подсети. Ждем, пока значок сети в области уведомления на рабочем столе не отобразит желтый значок предупреждения.
  1. Нажимаем Пуск , Все программы , Стандартные , правой клавишей нажимаем на Интерпретаторе команд и выбираем опцию Запуск от имени администратора . Нажимаем Да в диалоге Контроль учетных записей пользователей .
  1. В интерпретаторе команд выполняем команду gpupdate /target:computer.

Рисунок 23 Рисунок 23

  1. В окне интерпретатора команд выполните команду netsh nap client show grouppolicy.
  1. В разделе Клиенты системы ограничений (Enforcement clients) , опция Сторона, использующая IPsec (IPsec Relying Party) должна быть установлена на Включено (Enabled) .
  1. В разделе Конфигурация доверенных групп серверов (Trusted server group configuration) URL должен быть установлен на https://uag1.contoso.com/domainhra/hcsrvext.dll.

Рисунок 24 Рисунок 24

Теперь надо подумать о том, как проверить работу NAP на клиентах DirectAccess. По умолчанию мастер UAG SP1 RC DirectAccess настроил SHV (System Health Validator – Средство проверки работоспособности системы) на сервере NAP на использование стандартных параметров. Одним из этих параметров является требование того, чтобы на клиентах были установлены антивирусные приложения и постоянно обновлялись, чтобы пройти проверку NAP. В этом шаге мы подключим CLIENT1 к той части сети, в которой он сможет загрузить и установить Microsoft Security Essentials.

  1. Переведите клиента CLIENT1 в рабочую часть вашей сети и задайте CLIENT1 действительный IP адрес, который позволит ему получить доступ к интернету для загрузки Microsoft Security Essentials.
  1. Откройте Internet Explorer и перейдите к Security Essentials. На веб сайте Security Essentials нажмите Загрузить сейчас (Download Now) .
  1. Закройте Internet Explorer после завершения процесса загрузки.
  1. Дважды нажмите на mssefullinstall-amd64fre-en-us-vista-win7 файле, который вы загрузили.
  1. В диалоге Контроль учетных записей пользователей нажмите Да .
  1. На приветственной странице мастера Welcome to the Microsoft Security Essentials 1.0 Installation Wizard нажмите Далее .
  1. На странице лицензионного соглашения Microsoft Security Essentials License Agreement нажмите Я принимаю .
  1. На странице ready to install Microsoft Security Essentials нажмите Установить .
  1. На странице Completing the Microsoft Security Essentials Installation Wizard нажмите Готово .
  1. В окне Microsoft Security Essentials нажмите кнопку Обновить .

Рисунок 25 Рисунок 25

  1. После завершения обновления закройте окно Microsoft Security Essentials.

Рисунок 26 Рисунок 26

Теперь самое интересное! Давайте проверим, работает ли наша конфигурация. Переместите клиента CLIENT1 в подсеть Homenet и убедитесь, что клиент CLIENT1 может проходить проверку NAP и получать доступ к ресурсам в интрасети через туннель интрасети.

  1. Переместите клиента CLIENT1 в подсеть Homenet.
  1. Откройте интерпретатор команд от имени администратора. В окне интерпретатора команд Command Prompt введите napstat и нажмите ENTER. У вас появится всплывающее уведомление, в котором будет сказано: Network Access Protection и У вас есть полный сетевой доступ (You have full network access) . Закройте окно интерпретатора команд.

Рисунок 27 Рисунок 27

  1. Нажмите Пуск , введите mmc в поле поиска и нажмите ENTER. В диалоге Контроль учетных записей пользователей нажмите Да .
  1. В окне консоли нажмите Файл и выберите опцию Добавить или удалить оснастку (Add/Remove Snap-in) .
  1. В диалоге добавления или удаления оснасток (Add or Remove Snap-ins) нажмите Сертификаты (Certificates) и нажмите Добавить .
  1. В диалоге Сертификаты выберите Учетная запись компьютера (Computer account) и нажмите Далее .
  1. В диалоге выбора компьютера (Select Computer) выберите Локальный компьютер (Local computer) и нажмите Завершить .
  1. В диалоге добавления или удаления оснасток нажмите OK.
  1. В левой панели консоли перейдите в Сертификаты (локальный компьютер)\Личные\Сертификаты (Certificates (Local Computer)\Personal\Certificates) . В средней панели консоли обратите внимание, что есть сертификат, выданный corp-APP1-SubCA. Дважды нажмите на этом сертификате.

Рисунок 28 Рисунок 28

  1. В диалоге Сертификаты закладки Общие (General) обратите внимание, что в разделе Этот сертификат предназначен для следующих целей (This certificate is intended for the following purposes(s)): одной из указанных целей является System Health Authentication. Это указывает на то, что CLIENT1 прошел NAP проверку и теперь должен иметь доступ к туннелю интрасети.

Рисунок 29 Рисунок 29

  1. В диалоге Сертификаты нажмите OK. Сверните окно Консоль 1.
  1. Нажмите Пуск и в строке поиска введите \\app3\files и нажмите ENTER.
  1. Дважды нажмите на файле Example. Теперь вы можете прочитать содержимое этого файла. Это подтверждает, что у вас есть доступ к подсети Corpnet через туннель интрасети, поскольку APP1 не является членом группы серверов инфраструктуры. Закройте окно проводника Windows, которое показывает содержимое файлового ресурса Files. Закройте окно блокнота.
  1. Нажмите Пуск , введите wf.msc в строку поиска и нажмите ENTER.
  1. В средней панели консоли обратите внимание на то, что Частный профиль активен (Private Profile is Active) . Клиенты DirectAccess будут создавать свои туннели DirectAccess к серверам DirectAccess только в тому случае, если Публичный или Частный профиль активен.

Рисунок 30 Рисунок 30

  1. В правой панели консоли нажмите Свойства . В диалоге Брандмауэр Windows в режиме повышенной безопасности нажмите стрелку вниз рядом с Состоянием брандмауэра (Firewall state) и нажмите Отключить (Off) . Нажмите OK. Вы увидите всплывающее уведомление. Одно сообщит вам о том, что брандмауэр отключен, а второе – о том, что доступ к сети может быть ограничен. Обратите внимание, что в средней панели сказано, что Брандмауэр Windows отключен .

Рисунок 31 Рисунок 31

Рисунок 32 Рисунок 32

Нажмите Обновить (Refresh) в правой панели. Средства автоматического исправления NAP автоматически включит брандмауэр Windows после его отключения.

Рисунок 33 Рисунок 33

  1. В левой панели консоли перейдите в Брандмауэр Windows в режиме повышенной безопасности\Наблюдение\Сопоставления безопасности \Основной режим . Обратите внимание на запись основного режима (Main Mode), которая использует User (Kerberos V5) в качестве вторичного способа проверки подлинности. Это указывает на то, что пользователь мог подключиться к туннелю интрасети, поскольку туннель интрасети требует проверки подлинности пользователя. Вдобавок, когда NAP включена для клиентов DirectAccess, сертификат компьютера, используемый для проверки подлинности в туннеле интрасети, является сертификатом здоровья (Health Certificate), а это говорит о том, что компьютер смог пройти проверку NAP.

Рисунок 34 Рисунок 34

  1. Сверните окно брандмауэра Windows Firewall with Advanced Security.

Теперь давайте посмотрим, что произойдет, когда клиент DirectAccess не отвечает требованиям политики. В тестовой среде DC1 доступен через туннель инфраструктуры, а APP1 доступен через туннель интрасети. Когда UAG DirectAccess NAP клиент не проходит валидацию, он имеет доступ только ресурсам, которые доступны через туннель инфраструктуры.

  1. На CLIENT1 нажмите Пуск , в строку поиска введите services.msc и нажмите ENTER.
  1. В правой панели консоли Службы (Services) дважды нажмите на Microsoft Antimalware Service.
  1. В диалоге Microsoft Antimalware Service Properties (Local Computer) нажмите кнопку Остановить . Нажмите OK и сверните консоль Services.
  1. Обратите внимание, что появляется всплывающее уведомление Network Access Protection, говорящее о том, что Сетевой доступ может быть ограничен (Network access might be limited) . Это указывает на то, что CLIENT1 больше не может пройти проверку NAP. В диалоге Microsoft Security Essentials нажмите кнопку закрытия ('X' в верхнем правом углу), чтобы закрыть диалог.

Рисунок 35 Рисунок 35

  1. Разверните консоль с оснасткой сертификатов. Нажмите правой клавишей в средней панели и нажмите Обновить . Обратите внимание, что сертификат здоровья больше не появляется. Когда клиент не проходит проверку NAP, сертификат удаляется из хранилища сертификатов машины.
  1. Разверните консоль Windows Firewall with Advanced Security и нажмите Обновить в правой панели. Обратите внимание, что сопоставление безопасности основного режима, использовавшее Kerberos V5 в качестве вспомогательного способа проверки подлинности, отсутствует. Это указывает на то, что клиент больше не способен создать туннель интрасети, так как он не может предоставить сертификат здоровья для проверки подлинности компьютера.

Рисунок 36 Рисунок 36

  1. Нажмите Пуск , введите \\app1\files в строку поиска и нажмите ENTER. Через некоторое время вы увидите диалог ошибки сети Network Error, указывающий на то, что Windows не может подключиться к этому ресурсу. Это соотносится с тем фактом, что CLIENT1 необходим доступ к туннелю интрасети для подключения к APP1, и с тем фактом, что туннель интрасети недоступен, поскольку CLIENT1 не прошел проверку NAP. Нажмите Отмена в диалоге Network Error.

Рисунок 37 Рисунок 37

Рисунок 38 Рисунок 38

  1. Нажмите Пуск , введите в строку поиска \\dc1\files и нажмите ENTER. В этом случае ресурс Files доступен. Это говорит о том, что серверы инфраструктуры доступны через туннель инфраструктуры.

Рисунок 39 Рисунок 39

  1. Разверните консоль Services и нажмите правой клавишей на Microsoft Antimalware Service, а затем Запустить .
  1. Нажмите Пуск , введите \\app1\files в строку поиска и нажмите ENTER. Теперь у вас есть доступ к APP1 через туннель интрасети, поскольку CLIENT1 смог пройти проверку NAP.

Рисунок 40 Рисунок 40

  1. Закройте все открытые окна на CLIENT1 и не сохраняйте никаких изменений в консолях mmc.

Вам необходимо сохранить такую конфигурацию, к которой при необходимости вы можете вернуться для выполнения дополнительных задач тестирования. В зависимости от вашего решения виртуализации, способ сохранения снимка будет разным. Независимо от используемого вами продукта, мы рекомендуем сохранить снимок сейчас.

Заключение

В этой статье мы рассмотрели пошаговые инструкции по созданию лабораторной среды UAG SP1 DirectAccess с NAP, воспользовавшись новым форматом руководства Test Lab Guide, созданного компанией Microsoft. Мы узнали, как настраивать сервер UAG DirectAccess и подчинённый ЦС заднего плана. Затем мы проверили конфигурацию DirectAccess на клиентской машине и протестировали функциональность NAP. Все работало! Надеюсь, эта статья была полезной для вас, и если у вас есть вопросы относительно DirectAccess и NAP, пишите мне на dshinder\@windowsecurity.com. Я отвечу вам как можно скорее. Спасибо!

Автор: Деб Шиндер (Deb Shinder)

Деб Шиндер (Deb Shinder)Дебра Литтлджон Шиндер (DEBRA LITTLEJOHN SHINDER), MCSE, MVP (Security) является консультантом по технологиям, инструктором и писателем, автором множества книг по компьютерным операционным системам, сетям и безопасности. Она также является техническим редактором, редактором по разработкам и соавтором для более чем 20 дополнительных книг. Ее статьи регулярно публикуются на TechProGuild Web-сайте TechRepublic и Windowsecurity.com и появляются в печатных журналах, таких как Windows IT Pro (прежнее название: Windows & .NET) Magazine. Она создала учебные материалы, корпоративные технические описания, маркетинговые материалы и документацию по продуктам для Microsoft Corporation, Hewlett-Packard, DigitalThink, GFI Software, Sunbelt Software, CNET и других технологических компаний. Деб живет и работает в Dallas-Ft Worth районе и может быть доступна по почте mailo:deb\@shinder.net или через web-сайт www.shinder.net.

Источник: https://www.Redline-Software.com

Возникли вопросы?

Обращайтесь на форум!